Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 222 reacties

D66 wil dat er een verbod komt op de verkoop van internet-of-things-apparaatjes waarvan is gebleken dat ze onveilig zijn. Daarbij wil de politieke partij ook dat fabrikanten aansprakelijk worden voor de veiligheid van hun producten. Hiervoor zouden uiteindelijk Europese regels moeten komen.

Dat zegt Tweede Kamerlid Kees Verhoeven van D66 in gesprek met Nu.nl. Zijn partij pleit ervoor dat er strengere regels komen voor apparaatjes die binnen de internet-of-things-categorie vallen. Hij gaat hiervoor een initiatiefnota indienen bij de Tweede Kamer. Volgens Verhoeven is het noodzakelijk om strengere regels te maken voor veiligheid, omdat er steeds meer apparaatjes komen die met het internet verbonden kunnen worden. In de initiatiefnota gaat Verhoeven voorstellen om een Nederlands kwaliteitskeurmerk op te richten, maar uiteindelijk moeten er ook Europese regels kunnen komen. Zo moeten uiteindelijk apparaatjes die niet aan de veiligheidsvoorschriften voldoen een verkoopverbod worden opgelegd.

Onderdeel van het initiatief van Verhoeven is om te bekijken of fabrikanten aansprakelijk gesteld kunnen worden als blijkt dat hun producten niet veilig zijn. Het ondersteunen van apparaten met veilige software zou onderdeel moeten worden van de garantievoorwaarden, waarbij bedrijven dus worden verplicht om met software-updates hun apparaten up-to-date te houden, als er beveiligingsgaten aan het licht komen.

Verder wil D66 een zogenaamd bedreigingsanalyseteam oprichten, dat in de gaten moet houden of er gevaren dreigen voor de digitale infrastructuur. In dit team zouden vertegenwoordigers van fabrikanten en beveiligingsexperts zitting kunnen nemen en het team zou deel kunnen uitmaken van het Nationaal Cyber Security Centrum.

Het is nog niet duidelijk of er een meerderheid bestaat in de Tweede Kamer voor het uitvoeren van de plannen van D66. De initiatiefnota wordt ergens in de komende maanden besproken in de Tweede Kamer.

Moderatie-faq Wijzig weergave

Reacties (222)

En langzaam aan begint de politiek ook in te zien dat de digitale revoltuie niet te stoppen is. Regels voor internet/IT/iOT en alles wat daar nmee samenhangt worden bedacht, opgesteld en zodra ze eindelijk worden doorgevoerd zijn ze al achterhaald. Het gaat allemaal te snel voor de politiek om alles te kaderen. Neemt niet weg dat het idee goed is. Maar zoals uit de vele posts al blijkt, heeft zoiets nogal wat voeten in aarde. Imho moet men hier gewoon een richtlijn gaan opstellen die ook voor toekomstig gebruik toegepats kan worden. Probleem is alleen om dat én internationaal te doen én dusdanig formuleren dat er geen onduidelijkheid over kan zijn.
Bijv
"Elk apparaat dat verbinding kan en mag maken met het internet en/of andere apparaten moet vanuit de fabrikant van de toegangssoftware updates blijven krijgen om de veiligheid van gegevens te waarborgen voor de verwachtte levensduur van het apparaat zoals vermeld de bijlage. Indien de veiligheid zonder update niet gewaarborgd kanworden is het toegestaan een update automatisch te installeren. "
In die bijlagen kunnen dan apparaten worden opgenomen met hun verwachte levensduur en deze kan eenvoudiger bijgehouden worden dan telkens een nieuwe wet. En ja ook hier zal gelden dat sommige bedrijven hun update dus gaan pushen tesamen met wat wijzigingen di emen misschien niet wil. Maar zoals iemand ook al aangaf, het is nooit waterdicht te krijgen, maar zolang er af en toe een condensdruppel doorkomt is dat beter dan de sluizen maar gewoon open gooien omdat je het toch niet waterdicht kunt krijgen.
Just my 2 cents.
De politiek staat nooit vooraan en is altijd aan het reageren op de tendens of de publieke opinie.

Dat is met tech zo, maar met alle andere zaken ook. 'De politiek' bedenkt niets, maar dan ook echt niets zelf. Alles wordt ze aangedragen vanuit de ministeries, wetenschappelijk of ander onderzoek, en vanuit de resultaten van eerder toegepast beleid en de geluiden uit de maatschappij. We roepen altijd maar hoe men achterligt met IT zaken, maar dat is een generatieprobleem, niet een probleem van de politiek of van overheden. De hele wereld loopt achter de technologie aan op dit moment omdat we in een stroomversnelling zijn gekomen. Wetgeving, handhaving, en het herschikken van alles wat met privacy te maken heeft is veel breder dan de politiek. We zijn er als burgers zelf nog niet eens uit hoeveel privacy en veiligheid we willen opgeven voor een comfortabele positie in de nieuwe samenlevingen die drijven op technologische vooruitgang - kijk naar de manier waarop we met internet en al zijn gekkigheid omgaan. Die twijfel en het gebrek aan eenheid wordt momenteel misbruikt door bedrijven zoals Google, MS en alle anderen die in de voorhoede van deze vooruitgang werken. Dat is ze overigens niet eens aan te rekenen - wij moeten als gebruikers en burgers zélf eerst eens op een rij krijgen wat we willen. Want ook overheden misbruiken deze twijfel, kijk naar de manier waarop men met Snowden omgaat, of de arrogantie waarmee spionage wordt gelegaliseerd. Zolang wij als burgers geen vuist kunnen maken, blijft dit een probleem, hoeveel wetgeving je ook bedenkt.

[Reactie gewijzigd door Vayra op 20 november 2016 12:49]

Nou, dat is wel erg kort door de bocht. Wetgeving is echt niet alleen het gevolg van de publieke opinie. En van wat er weergegeven wordt in het nieuws, is ook niet gelijk aan de publieke opinie. De media benadrukken het stuk wat hen het beste uitkomt. Dat is per definitie slecht, afwijkend of anderszins nieuws (en waar publiek voor is c.q. om vraagt).

De overheid heeft - ook al zou ze op technologisch vlak achter lopen - wel de mogelijkheid om kaders te stellen. Bijvoorbeeld ethische (als het om medische ontwikkelingen gaat), privacy, veiligheid etc. Wetgeving is nu juist niet bedoeld om op de waan van de dag mee te waaien. En uiteraard zit er een element in dat door de tijd beïnvloedt wordt. Maar iets als de grondwet is een tamelijk tijdloos ding, waar wel weer aparte wetgeving naast kan komen die het meer in detail invult.

Er is op zich al wetgeving die burgers moet beschermen voor een al te inhalige overheid, bijv. op het gebied van data-vergaring. Voor IOT apparaten kan ook wetgeving komen, voor zover ze al niet valt onder allerlei bestaande wetgeving. Ik vraag me dan af aan welke wetgeving D66 denkt. Welke terreinen zijn nu nog niet afgedekt? Zijn er echt problemen, of is dit alleen een manier om de publiciteit te zoeken? (het zijn wel politici he)...

Op zich lijken er terechte dingen benoemd te worden, maar ik ben geen doorgewinterde jurist om te zeggen dat het antwoord wetgeving zou moeten zijn. Al zijn dit soort dingen vaker vastgelegd door normeringen of besluiten (CE, bouwbesluit voor de bouw). Wellicht is een CE-markering voor internetveiligheid iets wat moet komen.

Domweg fabrikanten verplichten tot updates voor de levensduur van een apparaat, zal ongetwijfeld de kosten opdrijven. De koper moet ook beseffen dat veiligheid een prijs heeft.
Kosten zou nooit een factor mogen zijn om het dan maar niet door te voeren. Als je als fabrikant bewust je apparaat aan het het internet gaat hangen, hoort daar inherent een veiligheidsbeleid voor de levensduur van het apparaat te worden meegenomen. Als dit de prijs opdrijft, het zij zo.
Dan kan de consument zelf beslissen of ze een dergelijk apparaat met of zonder internetverbinding willen hebben.
Een dergelijke verplichting zal er ook voor zorgen dat fabrikanten gaan nadenken over dergelijke zaken op voorhand, ipv half afgemaakte producten op de markt te dumpen en na een half jaar niet meer te updaten vanwege de nieuwere modellen die uitgeleverd worden.
Mocht een fabrikant failliet gaat, dan zou er misschien over nagedacht moeten worden of de internetaccess van de producten van die fabrikant uiteindelijk op afstand moet worden uitgeschakeld.
IOT gaat straks een potentieel gigantisch veiligheidsprobleem voor netwerken vormen. Naar mate er meer apparaten zo lek als een mandje blijken te zijn, zullen hackers en ander ongewenste personen meer en meer ons leven kunnen beïnvloeden. Iets wat zeer onwenselijk is, omdat ook de opsporende instanties nu al nauwelijks in staat zijn dergelijke criminelen te stoppen.
Kosten spelen altijd een rol. Een fabrikant kan niet van de lucht leven (en een consument ook niet). Als een fabrikant alleen maar verlies maakt, is het niet vol te houden dat er updates moeten komen. Na - in het slechtste geval - faillissement is de fabrikant van zijn verplichting af en heb je als consument geen rechten meer. Ook zal een overnamekandidaat het eerste de kostenposten wegstrepen en die verplichtingen niet overnemen uit een failliete inboedel.

Dat gigantische probleem wil ik ook nog wel iets nuanceren.
1. Je kunt er ook voor kiezen om je koelkast, koffiezetapparaat etc weer te ontkoppelen.
2. IOT apparaten zijn vaak simpele apparaten. De impact van besmetting is volgens mij vaak beperkt. De kosten die een fabrikant moet maken zijn afhankelijk van de impact.
3. De meeste IOT apparaten hebben internet als extra dienst nodig (bijv. een auto die zijn diagnose gegevens naar de dealer/importeur/garage upload. Zonder verbinding werkt die vaak ook, door lokaal uit te lezen.

Een hele andere discussie is: wil je zo sterk van internet afhankelijk zijn dat je zonder internet niet meer kunt 'leven'? Al zou internet een nutsvoorziening worden (of zijn), dan heb je nog met de beste wetgeving de mogelijkheid van uitval (a.g.v. bijv. veiligheidslekken). Wetgeving zal nooit verder kunnen gaan dan eisen rondom beschikbaarheid en dreigen met boetes. Maar van een kale (failliete) kip zijn geen veren meer te plukken.
Ik zeg ook nergens dat de fabrikant de kosten niet kan/mag doorberekenen in zijn product. Ik zeg alleen dat veiligheid niet afhankelijk mag zijn van de kosten, dan moet de fabrikant maar een afweging maken. Of het product duurder maken of internetconnectie maar laten vervallen.

Daarom mag van mij een dergelijke bepaling bij wet ingevoerd worden. Veiligheid mag niet langer een ondergeschoven kindje zijn bij met internet verbonden producten. Als je een auto product ontwikkeld, moet je daar ook rekening houden met veiligheid. Bij met internet verbonden producten zou dit niet anders moeten zijn. Dit moet een integraal deel worden van bedrijfsvoering als je je product voorziet van een netwerkverbinding.

Ik heb persoonlijk geen behoefte aan allerlei "slimme" apparaten die met het internet verbinden om iets te doen, wat ook offline zou kunnen. Tuurlijk er zijn producten die je leven makkelijker maken, maar ben je er zo afhankelijk van dat je geen normaal leven meer kan hebben zonder? Dat is een vraag die niet zozeer te maken heeft met het verzorgen van updates ivm veiligheid, maar meer een ethische en filosofische vraag over hoever je je leven wil gaan automatiseren.
Wat betreft kwetsbaarheid, denk ik dat je het iets onderschat. Zie bv. nieuws: Ddos-aanval op dns-provider Dyn werd uitgevoerd met Mirai-botnet als voorbeeld van wat er nu al kan met de beperkte hoeveelheid IoT-apparaten in omloop die ook relatief weinig tijd hebben gehad om outdated te geraken op veiligheid. In het geval je die DDoS niet herinnert, die heeft genoeg grote sites als Twitter en Github enkele uren onbereikbaar gemaakt. Extrapoleer dat naar meer devices en ook vooral meer devices met veiligheidsgaten, en dan is het volgens mij niet meer dan logisch om hier regelgeving voor op te stellen.
mooie omschrijving van wat er nu gebeurd en waarom het juist zo belangrijk is om hier actief mee bezig te zijn, zowel als individu als overheid als politiek. Over een paar honderd jaar leren we dat in deze tijd de grondvesten zijn gelegd voor wat dan heel normaal is. Maar dan moet er wel wat gebeuren binnen nu en zeg de komende 50 jaar en het soort voorstellen wat nu gedaan wordt is daar een minitieus begin van.
'De politiek' bedenkt niets, maar dan ook echt niets zelf. Alles wordt ze aangedragen vanuit de ministeries, wetenschappelijk of ander onderzoek, en vanuit de resultaten van eerder toegepast beleid en de geluiden uit de maatschappij.
Tjonge laat dat nu juist het verwijt zijn aan de politiek, dat ze niet luistert!

Sorry maar wat je zegt is óf een ongelofelijke onkunde van wat politiek is en zou moeten zijn, óf je hebt een vreemd beeld van wat politiek is. Wat jij beschrijft is inderdaad hoe politiek werkt en ook hoe ze zou moeten werken! Wat jij blijkbaar denkt is dat de politiek een soort avant garde is die haar wil oplegt aan de samenleving, sorry gaat niet gebeuren en dat is maar goed ook, want de laatste mensen die dat idee hadden hebben de Sovjet Unie, en meer van dergelijke utopische staten gesticht, en hoe dat af is gelopen weet je denk ik ook wel.
Nee, van een politiek leider verwacht ik visie. Dat is iets anders dan de wil opleggen. Het is juist het gebrek aan visie en échte oplossing dat er nu toe leidt dat we op mensen zoals Wilders en Trump gaan stemmen.

Als we geen charismatische leiders meer hebben, dan gaan we stemmen op degene die het hardst kan schreeuwen. Dat is altijd al zo geweest en is nu meer dan ooit bewezen. De grote stappen voorwaarts zijn in de geschiedenis steeds gemaakt door leiders met visie. De oorlogen zijn allemaal ontstaan door leiders die hard konden schreeuwen.

De EU is echter wel degelijk in beginsel ontstaan uit een duidelijke visie en dit verbod van D66 draagt aan die visie bij. Is Pechtold dan ineens een leider met visie - nee - maar hij loopt wel in de voorhoede met dit voorstel en het past in de lijn die we al jaren geleden zijn ingeslagen, én het past in de bewegingen die nu gemaakt worden op gebied van privacy en uitwisseling van gegevens.

[Reactie gewijzigd door Vayra op 21 november 2016 18:20]

toevoeging:
als het apparaat eol is, en de fabrikant besluit geen security update meer uit te brengen voor het apparaat op het moment dat er een bedreigende vulnerability voor dit apparaat is geconstateerd zal de fabrikant de eigenaar per mail ( apparaat moet voor in gebruikname geregistreerd worden ) hiervan op de hoogte brengen en indien noodzakelijk een update verspreiden die de netwerktoegang van het apparaat afsluit.

[Reactie gewijzigd door PetervdM op 20 november 2016 12:20]

Ah, fijn, dus je koopt een TV, die meestal maar een jaar geproduceerd/verkocht worden, na 3 jaar stopt de software ontwikkeling voor het model en dus wordt je TV van het internet gehaald, daar gaan al je smart features.

Verwachte levensduur (of ondetsteunde levensduur) van de fabrikant, en de praktijk of hoe de klant erover denkt, verschillen nogal eens van elkaar.


Als ik een apparaat koop voor z'n IoT functionaliteit dan verwacht ik dat dit blijft werken tot het apparaat kapot gaat, niet tot de fabrikant de stekker eruit te trekken.
Die hele EOL onzin moet niet gelden voor kritische problemen en veiligheidsgaten.

EOL is wanneer het apparaat fysiek de geest geeft, niet eerder. Fabrikanten moeten verantwoording nemen voor hun producten voor de gehele levensduur, niet alleen de eerste jaren.
Die hele EOL onzin moet niet gelden voor kritische problemen en veiligheidsgaten.

EOL is wanneer het apparaat fysiek de geest geeft, niet eerder.
Dus Windows XP zou ook nog ondersteund moeten worden, want werkt perfect voor veel toepassingen?

Zo werkt het helaas niet, en de wet (voor consumenten!) houdt daar ook rekening mee. Zo mag iets aan een auto niet binnen X jaar kapot gaan, en moet de fabrikant, behoudens slijtage, toch een deel van de kosten betalen.
(Ja ik weet het, gelijk hebben is niet gelijk krijgen.). Voor roest is dat bij de meesten wel vrij standaard 8 of 10 jaar, dat wordt dus al niet meer geaccepteerd.

Dito met witgoed, niemand gaat akkoord met de standaard 2 jaar garantie die je als consument hebt. Ook fabrikanten zien dit in, vaak kun je, als je meerdere apparaten hebt, gratis langer garantie krijgen (wel registreren etc.)

Zelfde zou moeten gelden voor iot, 2 jaar is te kort voor dergelijke apparatuur. 5 tot 10 jaar realistisch.

Dat moet (helaas) politiek regelen, want fabrikanten (lees: bedrijven) hebben maar 1 doel. En dat is niet klanten ondersteunen. (Anders waren het wel stichtingen.)
Software ≠ Hardware

Als jij een TV/Ijskast/Thermostaat etc. koopt, iets waar de software specifiek voor aangepast is, moet die software ondersteund worden tot de hardware het opgeeft.

Eenbesturings systeem op een PC is een heel ander verhaal aangezien dat besturingssysteem universeel is en niet specifiek voor die PC.
Daar ga ik niet mee akkoord. Tojdens de economische levensduur wil ik je gunnen, maar er zijn mensen die apparatuur veel langer gebruiken dan de periode waarvoor iets ontworpen is. Je kan niet verwachten dat een fabrikant een zwaar verouderd toestel blijft ondersteunen omdat enkele tientallen mensen het nog altijd gebruiken.
Wat betekent dat voor de Open Source wereld die dat wel graag wil blijven ondersteunen?
En waarom niet? Ondersteuning kan op verschillende manieren. Zoals jij het beschrijft is er geen waarde meer aan het toestel dus kan de software openbaar gemaakt worden. "NEE" zullen fabrikanten roepen: bedrijfsgeheimen etc. Dus het heeft wel waarde: dan moet de fabrikant ook niet zeuren en de mogelijkheid geven tot ondersteuning (wellicht in afgeslankte vorm) security updates kosten je de kop niet. Nieuwe features: ja, die gun ik je. Als ik een auto koop dan kan ik over het algemeen tot 15 jaar na de laatste productierun van die auto originele onderdelen kopen en daarna replica's. Waarom kan dat met software ook niet gewoon?
Tja wat je dán krijgt is dat er nóg meer 'planned obsolence' komt, volgens mij wilden we dáár nu juist van af!
Vroegah, toen wasmachines 15 jaar meegingen en TV's 20. Werd ook gewoon ondersteund.

Deze artificial korte levensduur is door fabrikanten verzonnen en geïmplementeerd om meer omzet te draaien.
en hoe lang zou zo'n toestel het dan moeten uithouden? Je zou voor minder iets ontwerpen dat er na 5 jaar de geest aan geeft om geen updates meer te moeten blijven schrijven en dan vergeet je nog alle kleine startups die het niet overleven, maar wel hardware op de markt hebben gebracht.
15, 20 jaar ideaal gezien. Gewoon degelijk maken die handel zoals vroeger. Daar bouw je ook een naam en een reputatie mee op.

Niet met al die wegwerp meuk tegenwoordig waar je mazzel hebt als een ijskast 10 jaar meegaat als hij de 8 al haalt.
Daar bouw je ook een naam en een reputatie mee op.
tja, maar daar betaal je geen personeel voor de overige 10 of 15 jaar mee door eenmalig een ijskast te maken die in vergelijking maar evenveel kost als vroeger (toen ze ook al zo lang mee gingen).
[...]

Dus Windows XP zou ook nog ondersteund moeten worden, want werkt perfect voor veel toepassingen?

Zo werkt het helaas niet, en de wet (voor consumenten!) houdt daar ook rekening mee. Zo mag iets aan een auto niet binnen X jaar kapot gaan, en moet de fabrikant, behoudens slijtage, toch een deel van de kosten betalen.
(Ja ik weet het, gelijk hebben is niet gelijk krijgen.). Voor roest is dat bij de meesten wel vrij standaard 8 of 10 jaar, dat wordt dus al niet meer geaccepteerd.

Dito met witgoed, niemand gaat akkoord met de standaard 2 jaar garantie die je als consument hebt. Ook fabrikanten zien dit in, vaak kun je, als je meerdere apparaten hebt, gratis langer garantie krijgen (wel registreren etc.)

Zelfde zou moeten gelden voor iot, 2 jaar is te kort voor dergelijke apparatuur. 5 tot 10 jaar realistisch.

Dat moet (helaas) politiek regelen, want fabrikanten (lees: bedrijven) hebben maar 1 doel. En dat is niet klanten ondersteunen. (Anders waren het wel stichtingen.)
IMO is zelfs 5 tot 10 jaar niet realistisch koelkasten en vrieskasten gaan veel langer mee dan 10 jaar.

Als een producent dat niet zo als wil updaten moeten ze het niet uitleveren.

Tav Windows XP, nee de software hoeft niet perse de zelfde te zijn. Ze kunnen als het goedkoper is ook een nieuwere versie op installeren. Als de gebruikers ervaring gelijk blijft zal geen klant er problemen mee hebben.
Tav Windows XP, nee de software hoeft niet perse de zelfde te zijn. Ze kunnen als het goedkoper is ook een nieuwere versie op installeren. Als de gebruikers ervaring gelijk blijft zal geen klant er problemen mee hebben.
wil ik ook doen met mijn auto ook doen: die rijdt nog perfect, maar mag binnen enkele jaren de lage-emissie-zone niet meer in (van de stad waar ik woon), maar gratis een nieuwe krijgen, dat zit er helaas niet in :(

snap je nu hoe onrealistisch je stelling is?
[...]


wil ik ook doen met mijn auto ook doen: die rijdt nog perfect, maar mag binnen enkele jaren de lage-emissie-zone niet meer in (van de stad waar ik woon), maar gratis een nieuwe krijgen, dat zit er helaas niet in :(

snap je nu hoe onrealistisch je stelling is?
Ik heb het over updates t.a.v. veiligheid.
Je het bet over aanpassing van regelgeving.

Puur hypothetisch. Als ik een auto koop waar IoT is zit zal de fabrikant er voor moeten zorgen dat deze veilig blijft.
Als Nederland dan de regelgeving aanpast dat een auto met IoT versie x de stad niet in mag, heeft dat met regelgeving te maken. Dat is niet aan de fabrikant.
Daarom heeft jouw mening niets met mijn opmerking te maken.
Daarom is jouw opmerking een onzin opmerking als opmerking op mijn reactie.
jij stelt nu nog dat microsoft XP gratis moet vervangen, terwijl het al jaren EOL is, dus waarom zou de ene achterhaalde stelling de andere niet onderuit mogen halen om de onzin ervan duidelijk te maken?
jij stelt nu nog dat microsoft XP gratis moet vervangen, terwijl het al jaren EOL is, dus waarom zou de ene achterhaalde stelling de andere niet onderuit mogen halen om de onzin ervan duidelijk te maken?
Dat zeg ik helemaal niet.
IK zeg dat als Windows XP op een IoT device zou draaien dat ze dit perse zouden te hoeven ondersteunen, ze zouden er ook de laatste software variant op kunnen installeren.
Dit was ene reactie @wjn, en puur hypothetisch omdat Windows XP niet op een IoT device draait.
Die hele EOL onzin moet niet gelden voor kritische problemen en veiligheidsgaten.

EOL is wanneer het apparaat fysiek de geest geeft, niet eerder. Fabrikanten moeten verantwoording nemen voor hun producten voor de gehele levensduur, niet alleen de eerste jaren.
IMO komt deze IMO ook onzin omdat de verantwoordelijkheid bij de leverancier (winkeliers) i.p.v. de producent gelegd is. Waarschijnlijk een keuze die onderdruk van de lobby gemaakt is.

Ik vind dat de producent ten alle tijden verantwoordelijk moet zijn voor zijn produkt. De producent heeft het uiteindelijk geproduceerd. Hij moet dan ook zelf op de blaren zitten.
Nu zitten ze alleen op de blaren bij grove fouten.
Klopt. Als een broodrooster bij gebruik in de fik vliegt en een huis afbrand, dan is de fabricant aansprakelijk.
Dat is niet anders dan bij IoT apparaten, zeker als deze bij masaal misbruik in staat zijn landelijke internet systemen plat te leggen.
als die fabrikant dus maar in duur beperkte software updates garandeert kan dat een criterium zijn waarop je de tv wel of niet koopt.
reken er maar op dat door de concurrentie in de tv markt dit een hot item zal zijn, iedereen biedt dan dus langdurige security updates. iedereen wint.

ja, als dud die termijn verstreken is en er komt een nieuwe bedreigende vulnerability, ja, de stekker eruit!
Kartelvorming anyone?

Als dit niet wettelijk wordt vastgelegd, geven de grote fabrikanten "spontaan" allemaal bv. 3 jaar ondersteuning.
kartelvorming is verboden. :)

de gebruiksduur van dergelijke apparatuur kan inderdaad worden vastgelegd als de markt daar zelf verkeerd mee omgaat. maar dat zal niet gebeuren. jij koopt ook geen auto als die er na zeg de hier eerder genoemde 8 jaar mee stopt. ook al rijdt je er niet zo lang in, het is dodelijk voor je inruilwaarde.

zo koop je ook geen dure tv als die maar drie jaar meegaat.

-edit-

en nu we het toch over auto's als voorbeeld hebben, ik kan me nog goed herinneren dat de apk werd ingevoerd. er werd moord en brand geschreeuwd, en nu is iedereen blij dat de grootste wrakken van de weg zijn gehaald ....

[Reactie gewijzigd door PetervdM op 20 november 2016 14:40]

email adressen veranderen, daar gaat je oplossing de fout in.
Apparaten moeten bij elke update een teller gaat lopen die het na x aantal dagen, weken of maanden niet geupdate te zijn op een irritante manier aan de gebruiker meldt dat het niet geupdate is. Zodanig dat de gebruiker bij de fabrikant moet kijken of het ding niet EOL is.
"Elk apparaat dat verbinding kan en mag maken met het internet en/of andere apparaten moet vanuit de fabrikant van de toegangssoftware updates blijven krijgen om de veiligheid van gegevens te waarborgen voor de verwachtte levensduur van het apparaat zoals vermeld de bijlage.
Verwachte levensduur van een apparaat zal in voorkomende gevallen lager zijn dan de werkelijk behaalde leeftijd. Wat gebeurt er dan met de garantie of de werking van het apparaat.?
Veel apparatuur haalt meer levensduur dan de fabrikant wenselijk zal vinden.
Indien de veiligheid zonder update niet gewaarborgd kan worden is het toegestaan een update automatisch te installeren. "
Dat wordt lastig als de gebruiker heeft voorkomen dat de koelkast het internet op kan.
[...]
Dat wordt lastig als de gebruiker heeft voorkomen dat de koelkast het internet op kan.
als die koelkast niet op internet kan, is er geen probleem. kan ie ook niet deelnemen aan een ddos aanval .....
Uiteraard. Maar ik vrees voor de tijd dat allerhande apparaten niet meer zonder internet geleverd worden, vanwege het zogenaamde gemak dat dat zou bieden.
[Uiteraard. Maar ik vrees voor de tijd dat allerhande apparaten niet meer zonder internet geleverd worden, vanwege het zogenaamde gemak dat dat zou bieden.
eens, en dus is het van belang dat er een soort van norm voor komt.
daarom is het ook maar een idee en geen wetsvoorstel :9
[...]

Verwachte levensduur van een apparaat zal in voorkomende gevallen lager zijn dan de werkelijk behaalde leeftijd. Wat gebeurt er dan met de garantie of de werking van het apparaat.?
Veel apparatuur haalt meer levensduur dan de fabrikant wenselijk zal vinden.


[...]

Dat wordt lastig als de gebruiker heeft voorkomen dat de koelkast het internet op kan.
Er moet gewoon toetsing komen voorafgaand aan het uitrollen van nieuwe technieken. Internationale toetsing en internationale wetgeving. Liefst Globaal. Meerdere landen moeten een digitale organisatie opstellen die verantwoordelijk is voor dit soort ethische en economische dilemma's. En dit moet transparant zijn voor iedereen. Een soort van FDA voor technische ontwikkelingen, maar dan niet beinvloedbaar door geld en volledig transparant wereldwijd.
En los van politiek. Door de politiek erkend als onafhankelijke instelling. Anders krijg je dat gezeik weer met machtige landen die het voor het zeggen hebben. Dit soort dingen moeten boven economie en politiek uitstijgen.

[Reactie gewijzigd door TJRef op 20 november 2016 20:09]

Goed idee, alleen de bewoording is veel te specifiek. Er is hier helemaal geen aparte 'cyberwet' voor nodig, die zou ook snel achterhaald zijn.

Nu al geldt in de EU en veel landen daarbuiten product aansprakelijkheid. De leverancier is aansprakelijk voor schade voor de gebruiker als gevolg van gebruik van het product. Schade kan zijn: Voorkombaar persoonlijk letsel door een ontploffende batterij of airbag. Het enige dat nodig is, is het oprekken van 'schade', en aan wie de schade berokkend wordt. Een DDoS levert immers ook schade op.

Een update beleid wettelijk specificeren is onnodig zodra software leveranciers, die nu een uitzonderingspositie hebben, gewoon aansprakelijk worden voor ellende die ze door voorkombare nalatigheid veroorzaken. Als de eerste lamlendige IP-cameraboer een boete heeft gehad voor mede-aansprakelijkheid voor een DDoS aanval, bedenkt de sector echt zelf wel een goed update-mechanisme.

Als Tesla of Airbus een ontwerpfout maakt in software, ze weten een oplossing maar voeren die niet door, zijn ze aansprakelijk voor de letsel-schade. Maar als Microsoft, Adobe, Oracle of Google een ontwerpfout maken in Windows, Flash, Java of Android, een oplossing hebben (of die is in het vakgebied bekend), maar er te lang mee wachten die uit te rollen waardoor maatschappelijke schade wordt geleden gaan ze vrijuit. Die speciale behandeling van software producten moeten we vanaf, zo niet dan blijven we brakke achterhaalde ongepatchte software houden.

Dit houdt niet per se in dat ze alleen maar foutloze software mogen verkopen, als ze kunnen aantonen dat de fout niet te voorkomen of bekend was, en ze voeren gelijk een update uit bij ontdekking dan gaan ze vrijuit.
goed punt moet ik zeggen. Zou eigenlijk voor alle software moeten gelden, dus ook voor games bijvoorbeeld. Maar dat is een andere discussie ;) . Alleen wat is de reden dat dit nu nog niet zo is?
Gister heb ik er nog even verder over gelezen, u had ook een goed punt, want juristen schreven dat het wel degelijk nodig schijnt te zijn om speciale regels te maken voor cyber-"schade".

De belangrijkste redenen die ik met een snel zoekrondje tegenkwam:
• Dat er nu geen aansprakelijkheid geldt in het geval van fysieke schade door software, is denk ik omdat software altijd met een "contract" (a.k.a. EULA) komt, een contract tussen de verkoper en koper waarbij de koper akkoord gaat dat de verkoper / maker niet aansprakelijk is. Auto's en vliegtuigen komen niet met zo'n contract.
• Verder was de smoes altijd dat software als "complexer" wordt gezien dan bijvoorbeeld een auto-ontwerp. Het wordt breed geaccepteerd hier op Tweakers, dat het onmogelijk is software van enige grootte / complexiteit te maken zonder fouten. En voor iets dat je niet foutloos kan maken, is het raar om verantwoordelijk te zijn voor de dus niet te voorkomen fouten. Software bedrijven lobbyen verder actief in Brussel om aansprakelijkheid tegen te houden, omdat dit hun kosten zou verhogen.
• Staten hebben natuurlijk baat bij "onveilige" software, hun afluister-mogelijkheden zijn ervan afhankelijk.
• Aansprakelijkheid is redelijk abstract, dus een algemene regel ook geldig maken voor software, zoals ik voorstelde, is waarschijnlijk weer te onduidelijk hoe deze geinterpretered moet worden voor software, daar zijn toch praktischere regels voor nodig (meer richting zoals u hierboven verwoordde)
• Er zijn op dit moment ook weinig advocaten met de expertise om een rechtzaak te voeren op dit gebied, dus advocaten hebben op dit moment nog niet echt reden om voor stricte aansprakelijkheid te lobbyen.

Een aantal van die punten komt naar voren in een NAVO-document dat ik vond.
U mag best je tegen mij zeggen hoor.
Maar dank voor de link naar een wel een interresant document en ergens ook een zorgelijke zaak dat er dus geen duidelijkheid komt/is voor dergelijke zaken. Ik ga dit document nog een paar keer goed lezen. Cyberschade zal ongetwijfeld op een bepaald moment correct afgedekt worden, alleen de vraag is of wij dat nog gaan meemaken.
Indien de veiligheid zonder update niet gewaarborgd kanworden is het toegestaan een update automatisch te installeren.
Er is nog een groot probleem en dat is dat automatische updates die je niet kan uitschakelen per definitie een ingebouwde achterdeur is. Dat is niets anders dan een partij de volledige toegang tot je apparaat geven. Geheime diensten zullen staan te smullen als het verplicht wordt om updates automatisch te kunnen installeren. Het is namelijk kinderlijk eenvoudig om gebruiker met IP xxx.xxx.xxx.xxx een andere bepaalde update te laten installeren. De diensten zullen bij de fabrikanten aankloppen en de fabrikant kan niks anders doen dan gehoorzamen zonder het publiek in te mogen lichten.
Daarom is het slechts een suggestie.....Ik ben (godzijdank) geen politicus en geen wetgever. Heb gewoon even wat opgezet als idee. Dat het vervolgens afgeschoten wordt snap ik wel maar iets zegt mij dat deze tekst het toch niet zal halen tot wet ;) .
Dus verwachte levensduur op een minimum van 10 jaar vast zetten. Lijkt mij een goede optie.
Interessant idee. Zou dan ook op telefoons slaan.
Het heeft niet zo heel veel te maken met digitale revolutie. Een vergelijkbare problematiek geldt voor namaak of mindere kwaliteit medicijnen, t/m giftige kleurstoffen in goedkope Chinese kleding al dan niet door Europese bedrijven of consumenten geïmporteerd. .

Dit probleem heeft te maken met globalisering.
En de digitale revolutie heeft niets te maken met de globalisering bedoel je? Globalisering is imho toch juist mede mogelijk door de digitale revolutie. Digitale revolutie is niet aleen online shoppen, maar iets zegt mij dat je ook wel weet wat ik bedoel ;) .
Zeker, dat denk ik ook, de digitale revolutie heeft de globalisering enorm versneld.
Alleen de problematiek van onveilige producten (of dat nu electronica is of kleding) en de import hiervan is een probleem wat met globalisering te maken heeft.

En daarom is dit ook een complex politiek probleem en geen technisch probleem..
En langzaam aan begint de politiek ook in te zien dat de digitale revoltuie niet te stoppen is.
De politiek had wakker moeten worden toen deze problemen met smartphones aan de kaak werden gesteld de afgelopen 20 jaar. Maar smartphones worden over het algemeen (nog) niet ingezet voor DDoS.

Vergissen is menselijk. Het is verder als politiek op zichzelf niet erg om fouten te maken zolang je deze maar durft toe te geven en wilt repareren.

Regels zijn prima, zolang ze maar op te volgen zijn. De titel van dit onderwerp zit een heel stappenplan achter. Ik weet niet hoe goed dat precies op de tekentafel is opgesteld, maar ik ben er voorzichtig positief over.

Ik zelf ben wat meer recht voor z'n raap en weet een simpelere regel. 5 jaar gratis support op software (dwz: security & reliability updates), dus IoT maar ook smartphones en TVs en autos. Misschien moet er zelfs onderscheid gemaakt worden in prijsklasses of verschillende soorten producten (een auto of TV gaat over het algemeen langer mee dan 5 jaar). Dat komt er dus op neer dat je niet de laatste versie van Chrome op die apparaatjes moet draaien, maar wel de laatste beveiligingsupdates backporten van de laatste versies van Chrome. Bovendien moet het geheel goed blijven werken (reliability fixes).

Zo niet? Dan mag jij dat product niet verkopen op de Europese markt. Zet het maar af op een markt die jouw rotzooi wel wil. Fabrikanten die bovendien dat steeds flikken worden uiteindelijk geweerd op de Europese markt (en dus ook grijze import via de Douane die heel eenvoudig met zwarte lijsten producten kan weren). Een simpele maar doeltreffende regel die het probleem bij de wortel aanpakt: bij de fabrikanten. De apparaten zullen hierdoor duurder worden, maar dat hoort er bij. Loopt dat de spuigaten uit kun je hier plafonds op instellen via regelgeving. Bovendien kunnen we dit ook internationaal aanpakken. Dan moeten de lobbyisten gewoon wat minder tijd besteden aan onzin zoals TTIP en ACTA, en wat meer aan zaken die ons allen aangaan zoals de algehele beveiliging en infrastructuur en bereikbaarheid van het internet.

Ik stem voor.
Lol, via regelgeving maximumprijzen instellen? Dan heb je geen vrije markt meer. De consument wil alles zo goedkoop mogelijk, en als men in europa de prijzen optrekt zal hij zelf wel gaan importeren. De douane kan nooit alles opsporen of tegenhouden. Je wil niet weten wat er vandaag allemaal door hun vingers glipt. Kijk maar eens rond hoe weinig mensen hun importtaksen betalen en liefst nog vragen om iets als geschenk op te sturen.
Lol, via regelgeving maximumprijzen instellen? Dan heb je geen vrije markt meer.
Nee, max 'service tax'.

En hou maar op met beweren 'dat je dan geen vrije markt meer hebt'.

Een vrije markt is niet een propositie of aan/uit schakelaar.

Het is niet zo dat een land geen vrije markt heeft omdat er wel of geen auteursrechten worden gehonoreerd. Omdat men wel of niet patenten honoreert.
De consument wil alles zo goedkoop mogelijk, en als men in europa de prijzen optrekt zal hij zelf wel gaan importeren.
Dat kunnen we dan belasten met import tax ten eerste. Ten tweede ga ik daar op in omdat ik stel dat we dit internationaal misschien moeten regelen.
De douane kan nooit alles opsporen of tegenhouden. Je wil niet weten wat er vandaag allemaal door hun vingers glipt.
Heb ik geen cijfers over. Maar het feit dat dingen door de vingers glippen betekent nog niet dat je het niet hoeft te doen. Dan kunnen we bijvoorbeeld Ritalin ook gewoon verkopen via de supermarkt omdat een paar junkies in Amsterdam het op straat verkopen...
Kijk maar eens rond hoe weinig mensen hun importtaksen betalen en liefst nog vragen om iets als geschenk op te sturen.
Daar wordt actief tegen opgetreden. Zo actief, dat bedrijven nu pro actief al de belasting betalen zodat er geen inklaringskosten zijn, en het artikel sneller aankomt. Dat heb ik recent zelf met mijn Pebble 2 ervaren. Die was binnen 2 dagen vanuit LA in Nederland bezorgd.

[Reactie gewijzigd door Jerie op 20 november 2016 22:30]

helemaal mee eens
Als we maar niet opnieuw een cookie wetgeving krijgen. Iets waar ik meer last als profijt van heb.
Ik heb het niet zo met meer wetgeving en regeltjes.
cookiewetgeving is juist een schoolvoorbeeld van wat er gebeurd als je iets heel expliciet gaat proberen te omkaderen zonder de gevolgen te bekijken, dus hoe het niet moet. Het is juist belangrijk om te kijken hoe wel moet en om dat in een breed toepasbare algemen wet te doen.
Hoeveel schoolvoorbeelden moet onze overheid nog maken? Onze gasbel in Groningen is een school voorbeeld voor Noorwegen hoe het niet moest. En ze lachen ons uit.

Onze ICT aanbestedingen vanuit de overheid...

De aanpak dat je zo naar een andere tandarts kon, maar uiteindelijk je veel duurder was. De tandartsen moesten gaan concurreren, maar werden uiteindelijk veel duurder.

Zo kun je nog veel meer dingen bedenken die met een beetje denkwerk wel verholpen hadden kunnen worden.

Onze overheid is een schoolvoorbeeld voor schoolvoorbeelden.
Op zich maar goed dat de politiek eerst de ontwikkelingen afwacht i.p.v. vooraf allerlei regelgeving te bedenken. Dit is nu een keer de juiste volgorde. Geen regels, tenzij blijkt dat het nodig is.
Helemaal niet zo moeilijk hoor... Gewoon als overheid verplichten dat alles met een mac adres minimaal 5 jaar van updates moet worden voorzien. Dan ben je al van een hoop gedonder af.
Op zich een goed idee, maar er zijn wat praktische problemen.

De garantie bedraagt momenteel 2 jaar. Men gaat dus een soort uitbreiding van de garantie periode afdwingen op apparaten die eigenlijk goedkoop moeten zijn ofwel gaan er een soort onderhoudscontracten verkocht worden met die dingen waardoor ze al minder aantrekkelijk gaan worden.

Gaat dit ook voor een smartphone gelden? Het aantal lekke telefoons zal wel een factor groter zijn dan die met de laatste patches geïnstalleerd.

Tot slot. Hier lang blijft een fabrikant verantwoordelijk voor zijn toestel. En moet een patch gepusht worden zonder toestemming van de klant? Hoeveel tijd krijgt de fabrikant om een patch mondiaal te pushen? Wat als de klant het update mechanisme blokkeert of als hij de verantwoordelijkheid krijgt zijn toestellen te patchen.

Anderzijds is elk initiatief beter dan de huidige situatie, naar er zitten wat addertjes onder het gras.
Op zich een goed idee, maar er zijn wat praktische problemen.
Je 'maar' doet onterecht af aan de noodzaak van de wetgeving.
De garantie bedraagt momenteel 2 jaar. Men gaat dus een soort uitbreiding van de garantie periode afdwingen op apparaten die eigenlijk goedkoop moeten zijn ofwel gaan er een soort onderhoudscontracten verkocht worden met die dingen waardoor ze al minder aantrekkelijk gaan worden.
Ja, en? Elk product die je op de markt brengt, moet nu eenmaal veilig zijn. Waarom bij IoT opeens niet? Als het niet goedkoop genoeg kan, jammer dan... dan maar helemaal niet. Ben je niet in staat om lang (dan denk ik zeker aan 10 jaar, maar bij IoT denk ik eerder aan iets van 25 jaar) de ondersteunen, jammer dan. Weg met die troep. Op zich sowieso al opmerkelijk dat een product uberhaupt op de markt mag/kan komen zonder dat er kans is dat je boetes krijgt terwijl er veiligheidsgaten in zitten door programmeer- en ontwerpfouten.
Gaat dit ook voor een smartphone gelden?
Wordt hoog tijd! Een smartphone is eigenlijk ook soort vorm van IoT.
Tot slot. Hier lang blijft een fabrikant verantwoordelijk voor zijn toestel.
Ik stel dus 25 jaar voor.
En moet een patch gepusht worden zonder toestemming van de klant?
Per default lijkt 't me handig dat dat aan staat, ja.
Hoeveel tijd krijgt de fabrikant om een patch mondiaal te pushen?
Zodra er een patch is: direct uitrollen natuurlijk. Dus binnen een week beginnen met uitrollen lijkt me wel het minimum.
Wat als de klant het update mechanisme blokkeert...
Tja, dan is de klant natuurlijk verantwoordelijk voor het blokkeren van het patchen.
...of als hij de verantwoordelijkheid krijgt zijn toestellen te patchen.
Dan komt er niets van terecht, want de gemiddelde klant heeft geen bal verstand van patchen. De verantwoordelijkheid moet dus bij de fabrikant blijven.
Anderzijds is elk initiatief beter dan de huidige situatie, naar er zitten wat addertjes onder het gras.
Als je mijn antwoorden accepteert, zijn er eigenlijk geen addertjes meer. Ja, natuurlijk zal dat remmend werken als je strenge wetgeving opstelt. Maar zo hoort 't ook! Het verkopen van slechte apparaten moet ook geremd worden!
Of de apparaten moeten inherent veilig worden. Ik zou niet weten hoe, maar ik kan wel wat failsafes bedenken. Bijvoorbeeld een hardwarematige upload beperker. Of een beperking tot communicatie met de servers van het bedrijf waardoor niet je lokale LAN afgegraasd kan te worden.

Best wel wat ontwikkeling mogelijk bovenop 'gewoon updaten' en 'ach malware is normaal'.

Oh ja, die kamerthermostaat moet verplicht een fallback hebben naar 'lokaal gebruik' en ook hard in te stellen limieten op de temperatuur. Misschien wel verplicht als 2 gescheiden systemen in 1 behuizing, waarvan 1 'dom' is.
Ik ben blij dat de politiek de eerder door mij voorgestelde maatregelen oppakt.

Er moet helemaal geen keurmerk opgericht worden in NL. De apparaten moeten gewoon veilig zijn en als dat niet het geval is worden ze verboden.

Tevens lees ik teveel dat er wordt gerefereerd aan fabrikanten. Veelal zitten die in China en die werken met importeurs. Je moet de importeurs ook aansprakelijk stellen, doch beperkt. Ze krijgen al genoeg te verduren als ze alles moeten terugnemen.

En ik lees in het voorstel teveel dat er weer op Europees niveau wordt gepraat. Dat is prima, maar duurt te lang. Zorg in ieder geval voor een wetsvoorstel zodat het hier in NL wordt geregeld zoals je het in Europa zou zien.

Tevens moet dit ook gelden voor andere apparaten zoals tablets en mobieltjes. Zo lazen we kortgeleden over de BLU mobieltjes die doodleuk overgenomen konden worden en die ook nog eens alle gegevens van gebruikers naar China stuurden, inclusief SMS berichten.

[Reactie gewijzigd door ArtGod op 20 november 2016 14:55]

Het zou pas een goeie zaak worden als fabrikanten gedwongen worden om de klant de keuze te geven, of hun 'smart' apparaat alle privé zaken dumpt in de cloud, of op een lokale nas, of gewoon niet.

Steeds meer mensen hebben thuis een kastje wat altijd aanstaat, voor de verwarming b.v. of voor de tv om programma's op te nemen of media te streamen of gewoon een nas. Daar kunnen mijn apparaten alle gegevens op kwijt.

Nu werken sommige apparaten gewoon niet als ze geen internet hebben terwijl ze dat voor gewoon gebruik niet nodig hebben, terwijl andere, zodra ze een IP hebben je privé gegevens in de cloud zwieren. Ook zie ik dat er gepoogd wordt om direct vanaf het internet bereikbaar te zijn.(port forwarding) Negens goed voor, volgens mij.

Ik vind dat wij het recht hebben om dat hele internet gebeuren af te zetten.
Ok, het kan al met een firewall en zo, maar ik vind dat het apparaat de keuze moet geven.

En als de dat landelijk aanpakt lacht de fabrikant. Maar als het Europees gebeurt zal de fabrikant zuur in het gareel gaan lopen.
Dit soort problemen op lossen door wetgeving is een bijzonder ingewikkelde zaak. In mijn ogen ligt het probleem erin dat de apparaten direct het net op kunnen omdat ze TCP/IP praten. Ik heb een huis vol met 'smart' apparaten en ben een groot liefhebber van home automation. Ik heb echter heel duidelijk de keuze gemaakt om nooit TCP/IP protocol te gebruiken (ik prefereer Zwave) en maar een point te hebben waar Zwave naar TCP/IP omgezet kan worden. In mijn geval via een Homey.
Ondanks dat ik dus tientallen dingen heb die met elkaar willen praten kan alleen de Homey ooit gekraakt worden en deel uitmaken van botnet.

Ik snap best dat een koelkast aangesloten op het internet handig kan zijn. Maar ik geloof nooit dat mesen elke week al hun machines nalopen om te zien of er een update is. Automatisch updaten is iets wat zijn eigen problemen meebrengt. Het is een totale illusie om te denken dat we over 10 jaar alles in ons huis, auto en kantoor veilig kunnen houden. Wat we wel kunnen doen is ervoor zorgen dat de problemen niet binnenkomen en niet naar buiten kunnen. Een moderne en slimme router kan hier al enorm helpen.

De tweede bescherming moet (helaas) liggen bij de provider die ervoor zal moeten zorgen dat hun aansluiting geen schade aanricht. We zijn allemaal tegen deep packet scanning maar het is wellicht de enige afdoende bescherming op den duur.
D66 wil dat er een verbod komt op de verkoop van internet-of-things-apparaatjes waarvan is gebleken dat ze onveilig zijn.
Dus ze wilen een verbod op alle verkoop van internet-of-things-apparaatjes?

Het nadeel van internet of things is dat ze ook net als smart-phones e.d. maar een beperkte software updates krijgen. Tenzij er een wet komt dat ze deze langer moeten updaten. Volgens mij komt IoT ook in koelkasten ed die meer dan 10 jaar in gebruik zullen zijn.

Ik heb altijd al mijn twijfels of IoT gehad, het idee is leuk maar het is niet veilig uitvoerbaar.
Je zou OTA updates zonder tussenkomst van de klant kunnen gaan gebruiken maar dat plaveit de weg voor veiligheidsdiensten.
Goed plan om dit op europees niveau af te dwingen. Mijn inziens vooruitstrevend.
En hoe ga je dat handhaven dan? De globalisering van de wereld die vooralsnog steeds aan de gang is maakt dit wel een lastig verhaal. En dan nog, globalisering of niet, ebay, dx.com en dat soort sites / leveranciers zullen echt niet terughoudend zijn jou spullen te sturen.

Nobel streven, maar totaal niet te handhaven in mijn optiek. Aanpakken bij de bron. Oorzaak wegnemen, geen pleisters plakken op de gevolgen.
Tuurlijk wel, gewoon met een equivalent van een t CE keurmerk. IOT apparaten mogen niet in de EU verkocht worden zonder keurmerk XX.
Niet mogen en niet doen zijn twee dingen. Zoals gezegd, dx.com, ebay, aliexpress staan vol met spullen die hier niet zijn toegelaten. Bestel maar eens zoiets, komt gewoon aan hoor :)
Nee, dit is vechten tegen de bierkade. Begrijp me niet verkeerd, ik vind het goed dat er over nagedacht wordt, maar dit is weer ontzettend naieve politiek. 'We verbieden het, dus dan gaat niemand het meer doen!' uhuh...
'We verbieden het, dus dan gaat niemand het meer doen!' uhuh...
Ondanks je negatieve insteek heb je deels gelijk. Rijden door rood licht is verboden, toch gebeurt het dagelijks.
Waarom heeft zo'n verbod dan zin? Omdat het merendeel van de mensen zich er aan houdt.
Hetzelfde geldt voor dit voorstel: doordat fabrikanten gedwongen worden om voor de Europese markt veilige apparatuur te maken, zullen er meer veilige apparaten wereldwijd worden verkocht. Want voor veel fabrikanten zal het uitbrengen van 1 apparaat met 1 firmware wereldwijd een stuk goedkoper zijn dan per werelddeel een aparte versie uit te brengen.

En ja, er zal grijze import zijn van zaken die volgens de Europese wetgeving verboden is. Maar dat is, net als het aantal keren dat er door rood gereden wordt in verhouding tot het aantal mensen dat bij een rood verkeerslicht aankomt, slechts een fractie.
Ik vind Rataplans insteek niet negatief, eerder realistisch. Het is nogal een populistische benadering van D66 mbt het probleem.

Het probleem is dat er in de EU een keurmerk is waar binnen de EU producenten importeurs en verkopers zich aan dienen te houden. Dit keurmerk geldt niet in landen buiten de EU, zoals in China bijv. Iederee consument staat dus vrij om deze keurmerkloze producten te kopen in deze landen, voorbeelden te over.

Mbt dat rode licht....wie krijgt er een boete bij het overtreden, de gebruiker.. verkeersdeelnemer Dus die vergelijking gaat niet op.

Wat je als overheid kan doen is de consument goed en blijvend voorlichten voor de gevaren. Of je legt als overheid net zoals bij het rode stoplicht de verantwoording bij de consument...maar dat is een impopulaire maatregel voor een partij als D66.
Wat je wel zal krijgen is dat producenten die zich er wel aan gaan houden kunnen adverteren met: "Ons product heeft het EU-IoT-keurmerk!" Waar een Chinese meukproducent dat niet kan.

Misschien krijg je dan wel hetzelfde als het keurmerken voor websites. Bijvoorbeeld zelfs bol.com adverteert dat ze het Thuiswinkel Waarborg keurmerk hebben. En bij veel personen die weinig kaas van internet hebben gegeten is nu wel een stukje bekendheid over dat ze op moeten letten wat ze op internet moeten kopen en dat door te open op website met een keurmerk ze in veel gevallen veiliger zijn.

De discussie over welk keurmerk voor een website het beste is (of geen) daargelaten. Punt is wel dat het de discussie over veiligheid ook het niet-technisch publiek bereikt zodra er een keurmerk is waar ze eenvoudig naar kunnen zoeken.
"Ons product heeft het EU-IoT-keurmerk!" Waar een Chinese meukproducent dat niet kan.
Ah, net als het CE "keurmerk" (Conformité Européenne) wat door de Chineese producenten "vervangen" wordt door hun CE markering (China Export), en er vrijwel hetzelfde uit ziet.
Wat dus aangeeft dat het basisprincipe werkt, misschien de uitvoering niet.

Waarom zouden ze het anders namaken als het geen bedreiging zou zijn voor inferieure meuk?
Is het alternatief, volgens jou, dan niets doen?
Nee hoor, ik zeg ook niet dat je niets moetn doen.

Maar dit is met een steeds meer globaliserende wereld een probleem wat niet valt op te lossen met een keurmerk wat alleen in EUropa dekkend is.

Losstaande van de enorme complexiteit dat dit met zich meebrengt om op te zetten/handhaven binnen een unie in de overgang (TTIP/TISA/CETA)

Mijn keuze zou zijn om meer te richten op voorlichting vanuit de overheid wat de risico's zijn, ook tot garantie en verzekering

[Reactie gewijzigd door litebyte op 20 november 2016 14:18]

En waarom zou je geen stelling nemen?


Het is niet alleen een probleem van de EU,
in potentie heeft China een veel groter probleem omdat de regulering daar strakker is. Als daar een van de nodes worden uitgeschakeld dan zijn er ineens wel heel veel Chinezen naar een (mobiel) schermpje aan het kijken die niets doet.

Alleen de dreiging dat hun eigen netwerk door hun eigen apparatuur in gevaar loopt omdat we vanuit het westen te weinig middelen hebben om er iets tegen te ondernemen zou genoeg moeten zijn om de Chinezen een meer naar hun netwerk te laten kijken.
De vergelijking kan in die zin wel opgaan, als onveilige verbindingen door providers afgekapt zouden mogen worden. Dus IoT zonder beveiliging op je internetverbinding? Weg verbinding. Dan ligt het opnieuw bij de consument.

Om te verwachten dat de overheid met campagnes consumenten kan overtuigen... veel campagnes zijn nu al veel te betuttelend. En mensen kiezen voor het goedkoopste, dus als dat onveilige grijze import uit China is, dan kiezen ze daarvoor.
Dus ja, dan ben ik inderdaad voor het afkappen van onveilige verbindingen :)
als onveilige verbindingen door providers afgekapt zouden mogen worden.
Dat wordt vooral leuk als men bijvoorbeeld torrent-verbindingen als "onveilig" gaat beschouwen. Wie gaat bepalen wat wel of niet veilig is?
Daarnaast, hoe gaat een providers die onveilige verbindingen detecteren? Verkeer doorzoeken? DPI?
Krijgen we straks dichtgetimmerde routers van de overheid en moet je je apparatuur eerst aanmelden en alle certificering overhandigen voor het door de router toegelaten wordt?
Excessief verkeer afkomstig van adressen is niet heel moeilijk te zien. Daar is ook geen dpi voor nodig: je hebt een bron- en doeladres, de hoeveelheid verkeer laat zien of er een DDOS aan de gang is.
Dus nee, daar is geen overheid voor nodig. ;)
Excessief verkeer afkomstig van adressen is niet heel moeilijk te zien
Wat is excessief verkeer? Veel bandbreedte gebruiken of veel verbindingen? En waarom zou ik beide niet voor gewone legitieme doeleinden kunnen gebruiken?
. Daar is ook geen dpi voor nodig: je hebt een bron- en doeladres,
En wat heb je aan dat doeladres? Pas als je weet dat dat doel aangevallen wordt, en de provider daar van op de hoogte is kunnen ze actie ondernemen. En de huidige regelgeving laat dat nu al toe.
Of worden verbindingen naar bijvoorbeeld China standaard "onveilig" en gaan we de Chinese firewall hier ook nabouwen.
de hoeveelheid verkeer laat zien of er een DDOS aan de gang is.
Dus als ik mijn volledige upload besteed aan een sync met google drive dan is dat een DDOS attack?
Google Sync adressen zijn bekend, dus nee, het is niet vreemd als je volledige upload daaraan besteed wordt.
En ja, je kan 100.000 scenario's bedenken die allemaal heel legitiem zijn en geen ddos aanvallen. Maar je zal het toch met me eens zijn dat voor de meeste huishoudens het verkeer redelijk duidelijk is: uploads worden nauwelijks volgetrokken, en als dst al eens gebeurd is dat niet voor uren achter elkaar.
Bovendien kan je dan bijvoorbeeld worden afgesloten door je provider, als je toch last veroorzaakt met een niet-gekeurd apparaat. In plaats van dat er een woordenwisseling plaatsvindt over 'ik betaal voor deze aansluiting en ik mag ook mijn SpamCam aansluiten en als je problemen hebt klaag dan maar bij SpamCam'.

Eigenlijk zie ik wel verband met ethervervuiling. Je mag ook niet zomaar een radiozender aanzetten op een willekeurige band. En elektronische apparatuur die je verkoopt mag niet storen. Allemaal verstopt onder dat CE merkje.
Een griepprik heeft zeker niet altijd nut, maar dat is wel een keuze die iedereen voor zichzelf kan maken. En een beetje voor anderen, omdat wanneer je zelf griep hebt je anderen kunt infecteren / besmetten. Door rood rijden zelfde. Die keuze maak je voor jezelf en voor anderen als het misgaat. Als je iets kon bedenken waardoor in Europa door rood rijden echt niet meer kan, auto's die met camera's kijken en gewoon stil gaan staan, of bij wijze van betonnen palen uit de grond, dan heb je het probleem in Europa opgelost (ja ik chargeer nogal).
Internet is echter wereldwijd. Wanneer Europa geen problematische IOT devices meer heeft, maar RUsland en China wel, en vast nog een aantal landen, dan speel je daarmee het probleem niet weg. DDOS kan vanaf overal in de wereld. De pijpen zijn dik zat, en op internet is de wereld maar een paar ms groot.

Nogmaals, ik vind het juist erg goed dat er over nagedacht wordt maar denk juist, ondanks dat ik hier als simplistisch wordt weggezet dat dit idee juist wat te naief is.
Jij wordt door mij in ieder geval niet als simplistisch weggezet, maar ik heb wel het idee dat jij een 100% oplossing wil. En geloof me: er is nog nooit iets bedacht door mensen, waar niet een manier voor gevonden werd om er omheen te komen door andere mensen.
100% oplossingen voor mens-gecreëeerde problemen bestaan niet. En dus zijn er allerlei lapmiddelen, zoals een wet die zegt dat je niet door rood mag rijden of een voorstel om IoT-apparaten te laten voldoen aan bepaalde eisen :)
Het was juist naïef dat er niet vooraf al wetten waren opgesteld. Het is nog naïever als je - nu het probleem er éénmaal is - er niks aan wilt doen qua wetgeving.
Zonder wetgeving: dan is 't dus een kwestie van zelfregulering. Zelfregulering heeft nog nooit gewerkt, en zal ook nooit gaan werken: de economische belangen staan dan altijd voorop.

[Reactie gewijzigd door kimborntobewild op 21 november 2016 09:18]

Maar je snapt hopelijk ook dat als deze apparaten niet meer in de Europese (web)winkels liggen, er _veel_ minder van verkocht worden en de hele situatie dus veiliger wordt.
Zeker, maar minder != geen. Dus je lost het probleem niet op.
Dan kunnen we ook wel stoppen met de griepprik, want hoewel er minder mensen de griep krijgen in kwetsbare categorieën, voorkomen we de griep er niet mee bij iedereen die die inenting krijgt.

Sowieso kun je wel stoppen met medicijnen, condooms, de pil, rookmelders, airbags, etc... Allemaal oplossingen die een probleem niet 100% oplossen :Y)

Ik hoop dat je zelf ook inziet dat je redenatie een beetje (understatement) spaak loopt.
Ik heb ook al een paar keer gezegd dat het zeker goed is dat er wat gedaan wordt. Echter in tegenstelling tot jouw voorbeelden is internet een wereldwijd iets. Zelfs al zijn er straks in Europa geen 'lekke' IOT apparaten meer, heb je dan iets bereikt als Rusland en China er vol mee zitten? Je kunt niet voorkomen dat er grote DDOS aanvallen komen bijvoorbeeld.
Je mist nog altijd het punt: het feit dat iets niet 100% voorkomen wordt, wil niet zeggen dat een poging om het in ieder geval te verminderen naief is (letterlijk jouw woorden). De politiek probeert er iets tegen te doen en dan vind ik jouw negativiteit misplaatst. Als ze niks zouden doen was het ook niet goed. D66 beweert ook nergens dat dit het ei van Columbus is.
Echter in tegenstelling tot jouw voorbeelden is internet een wereldwijd iets.
Overigens mis ik misschien iets, maar griep, SOA, tienerzwangerschappen, woningbranden en dodelijke autoongeluken zijn niet beperkt tot de EU en gebeuren net zo wereldwijd als DDoS-aanvallen. Sterker nog: je ziet dat als de ene partij zijn wetgeving aanscherpt (airbags verplichten bijvoorbeeld), de andere partijen snel volgen. En voor de fabrikant is het dan makkelijker om gewoon alle auto's wereldwijd veiliger te maken, net zoals je met IoT gaat zien: waarom zou je de firmware voor de EU goed beveiligen, maar die voor de VS onveilig houden?

[Reactie gewijzigd door Grrrrrene op 20 november 2016 12:45]

Overigens mis ik misschien iets, maar griep, SOA, tienerzwangerschappen, woningbranden en dodelijke autoongeluken zijn niet beperkt tot de EU en gebeuren net zo wereldwijd als DDoS-aanvallen.
Al deze problemen zijn een fantastisch voorbeeld want ze zijn allemaal in de loop der jaren minder geworden. Het is en blijft een constante strijd net zoals de beveiliging van computers (en dus ook IoT).

We zitten met IoT met een groot probleem, dat wijdverspreid is. Het is zaak dat we er nu iets tegen gaan beginnen. De eerste stappen zetten.

Grote conflicten zoals de opwarming van de aarde of een oorlog zoals WO2 zijn ook niet in 1 dag gewonnen. Een conflict van grote, complexe aard welke de gehele mensheid aan gaat zal veel tijd, geld en moeite kosten. Bovendien heb je negatievelingen en onwelwillende die niet mee willen doen.

Ik ben blij dat er een politieke partij zo vooruitstrevend is dat ze een stappenplan op hebben gesteld en nu een begin willen maken. Want het probleem wordt er momenteel niet minder op; integendeel.
En op zich vind ik het D66 voorstel goed.
Maar het probleem is fundamenteler.
Apparaten zomaar permanent met internet verbinden moet geen vanzelfsprekendheid zijn.
Veel dingen kunnen ook via een lokaal netwerk gedaan worden en alleen een internet verbinding als je even een update wilt ophalen. Zoals je de voordeur even open doet om iemand binnen te laten of er zelf uit wil gaan. Maar je hebt je voordeur toch ook niet permanent open ?
1) De internetverbindingen zijn daar veel trager.
2) Veel apparaten worden ook daar veiliger doordat fabrikanten dezelfde firmware gaan gebruiken voor die landen. Andere firmware daarvoor gebruiken is duurder, dus dat doen ze niet.

Tuurlijk zullen er onveilige apparaten overblijven, maar wel in mindere getale.

Bovendien moet er ergens een beginetje worden gemaakt.
Een probleem hoeft niet voor 100% weg te zijn om het wel op te lossen. Als iets in grote getalen gebeurd, kan het voor problemen zorgen. Als het met 80% verlaagd wordt, hoeft het al geen problem meer te zijn.
Maar met deze insteek kom je natuurlijk nergens. Voor de Europese webshops richtlijnen/keurmerken hanteren is een goed plan. En daar had hij het over. En ja er zijn altijd wel mensen die er mee weg komen.
Het verbieden is een bijzaak van regulering. Men wil keurmerken, wettelijke kwaliteitseisen en productaansprakelijkheid invoeren ten behoeve van de ‘gewone consument’. Betrouwbare winkels en leveranciers zullen zich aan deze eisen gaan houden en het zal voor de gewone consument dus een behoorlijk gewin zijn als zij daarop kunnen vertrouwen en meer veilige apparaten worden verkocht. Wie onveilige apparaten onder de toonbank meent te moeten kopen, schaadt daarmee alleen zichzelf. Ik zie niet waarom dat laatste zaak van de overheid zou moeten zijn, vermijdbaar is het toch niet.
Zullen we dan ook maar ophouden met criminelen te berechten? Doen we al een tijdje en nog steeds zijn er criminelen... Lost het probleem niet op dus.
Oke, dus dan doen we voortaan maar helemaal niets meer om het probleem op te lossen
Bij Tweakers zijn dit populaire sites maar de gemiddelde persoon haalt zijn IOT apparaatjes (straks) gewoon bij de Hema, Gamma, etc.

Waterdicht is regelgeving nooit helemaal, maar je kunt de schade wel enorm beperken met het invoeren van relatief eenvoudige regeltjes.
Ik denk dat je je daar op verkijkt. Hemaal als straks, door extra regelgeving en controles, de producten die zich wel aan de regels houden (nog) duurder worden. Ik hoor nu al vaak genoeg dat mijn omgeving niet technische zaken op AliExpress koopt omdat het zo goedkoop is. Dat wordt alleen maar meer, omdat al die Aziatische beunhazen zich geen fluit aantrekken van Europese regelgeving.

Andersom zie je nu ook dat partijen als DLINK voor webcams dezelfde slechte kwaliteit software leveren, maar door de merknaam er 50% bovenop gooien. Hopelijk gaan dit soort A-merken zich dan eindelijk eens op kwaliteit onderscheiden.
Ja je iphone oplader bij AliExpress halen is lekker goedkoop, totdat je 220 door je lijf krijgt zodra je je telefoon oppakt of je muziek aan't luisteren bent terwijl je telefoon aan het laden is

http://www.righto.com/201...-charger-and-why-you.html
http://www.smh.com.au/nsw...death-20140627-zsoc8.html

Die veiligheidsstandaarden zijn er niet voor niets.

[Reactie gewijzigd door Gamebuster op 20 november 2016 11:45]

Niet mogen en niet doen zijn twee dingen. Zoals gezegd, dx.com, ebay, aliexpress staan vol met spullen die hier niet zijn toegelaten. Bestel maar eens zoiets, komt gewoon aan hoor
Pakbon verplicht typenummer ed. in productomschrijving en deze matchen met een blacklist, en kloar is Klara.

Het idee van D66 is een begin. Het is een stappenplan. De volgende stappen zitten hem in de fabrikanten aansprakelijk stellen. We hebben een groot probleem, en we moeten ergens beginnen.
Precies, "Verbieden" is een schijnoplossing.

Regelgeving, informatieverstrekking en keurmerken, waarbij de consument zelf een keuze kan blijven maken, lijkt mij een betere optie.

Ik hoef niet aan het handje te worden gehouden door de overheid.
En daarnaast de leverancier aansprakelijk stellen voor de veroorzaakte schade. Dit kan behoorlijk oplopen als b.v. een site van AirFrance-KLM een paar uur wordt geblokkeerd.
Hoe vaak zie je niet een CE keurmerk doodleuk op een apparaat waar potentiëel een 230V op kan komen? Zoals alle stroomadapters met een capacitive/resistive dropper.
Precies, die keurmerken zijn een dooddoener.

[Reactie gewijzigd door _Thanatos_ op 20 november 2016 14:30]

wishfull thinking producten uit china die hier eigenlijk niet verkocht mogen worden worden nog steeds aangeschaft

wat mij betreft gaan we met IoT gewoon sim kaartjes gebruiken en deze afsluiten zodra ze overlast veroorzaken.
De meeste van dit soort apparaten worden via Nederlandse (web)winkels aan de Nederlandse consument verkocht. Dat valt prima te handhaven.

Om een vergelijking te maken met handhaving bij andere goederen die via het internet verkocht worden: btw is ook verplicht, en toch komen er elke dag vele pakketjes binnen vanuit Azië waar geen belasting over betaald wordt. Toch is dat niet heel erg, want het gros van de Nederlanders komt gewoon uit Nederland.
Iemand zal echter al die iot apparaten moeten controleren. Wie gaat dat doen? Of wordt het weer zo'n papieren controle? De note7 had vast ook alle keurmerken maar vloog toch in brand.

En wat als de consument vervolgens dezelfde regels om zeep helpt? Overal hetzelfde wachtwoord op zet of niet hun apparaten up to date houden? Dan blijf je nog hetzelfde probleem houden
Niks is perfect. Tegenover die paar telefoons die in brand zij gevlogen staan miljarden telefoons die het jarenlang prima doen. Zonder regels waren dat er vast meer geworden.
Hoe ga je het aanpakken bij de bron?
Dit lijkt me juist een goede motivatie voor de fabrikanten om het bij de bron aan te pakken. Als je een boete van de EU krijgt omdat je product onveilig is heb je een hoop imago schade.
Voor eigen import ben je zelf aansprakelijk maar dit kan bij problemen dan in beslag worden genomen. En de wat betere Chinese merken zoals Xaomi nemen de Europese regels gewoon over. Dus je dwingt het wel af.
Handelsbeperkingen is men op politiek vlak zeker met China heel huiverig voor. Met heel veel moeite en veel te laat is er wat aan de chinese staaldumping gedaan.

China's economische dump strategie zal simpelweg allang zijn aangepakt als het voor diegene die politiekbepalend zijn (westerse grootinvesteerders en industrie) totaal gezien minder zou opleveren dan kosten.

[Reactie gewijzigd door litebyte op 20 november 2016 12:32]

En wat is volgens jou dan de oorzaak en de oplossing? D66 stelt voor om onveilige apparaten (naar EU-normen onveilig) niet meer toe te laten op de Europese markt. De enige manier om dit nog verder bij de bron aan te pakken, is de fabriek sluiten waar de onveilige producten gemaakt worden. Zullen de werknemers in Azië leuk vinden. En als de regering van Vietnam of Taiwan onveilige IoT-apparaten geen probleem vindt, dan verkopen die malware deurbel maar in eigen land.
Oh ik stel absoluut niet dat ik een betere oplossing heb. Maar ik denk zeker dat dit in de praktijk weinig nut gaat hebben. Wie verantwoordelijk is voor de schade maakt in feite al niet meer zoveel uit als de hacks al gedaan zijn en de data van het ziekenhuis of overheid (voorbeeld) al op straat ligt.

De pakkans zal zeker kleiner worden maar stellen dat je hiermee het IOT probleem oplost is in mijn ogen ontzettend naief.
Oorzaak wegnemen, geen pleisters plakken op de gevolgen.
Ik zeg ook niet dat je de oplossing hebt. Jouw opmerking was dat de oorzaak niet aangepakt werd. Mijn vraag was dan ook: "wat is dan de oorzaak?"

Aangezien je wel weet te vertellen dat de oorzaak niet aangepakt wordt, zou het raar zijn als je nu de werkelijke oorzaak van het probleem niet kunnen aanduiden.
De oorzaak is toch juist dat je geen support hoeft te leveren en voor de schade niet opdraait? Die zou met dit voorstel wel aangepakt kunnen worden. De minimale hoeveelheden eBay-importen etc zijn niet zo'n problee; er moet alleen genoeg aansporing zijn een paar man aan te nemen die voor de updates zorgen. Misschien krijgt de rest van de wereld dan ook gelijk updates.
Je moet ergens beginnen. Ik vind dit een goede zet. IoT is een veiligheidsdrama en dit is een goede toelatingseis die ook fabrikanten aanzet tot een stuk bewustwording en het bouwen van een effectief systeem om zaken veilig te houden.
Handhaven is makkelijk. iOT certificaten en digitale handtekeningen.

Als het apparaat niet up-to-date is geen toegang meer tot het iOT. Dit kan de politiek opleggen aan de providers, geen handshake geen toegang misschien zelfs blacklisten. Zo kan er nimmer een apparaat verbinding krijgen die niet voldoet.

Nu is het natuurlijk altijd mogelijk voor tweakers/hackers. maar verreweg de meerderheid is Henk de buurman met een wasmachine die hij elders kan aanzetten (zie het nut niet maar goed). Die zullen er niet alles op alles aan doen om hem toch op internet te krijgen zonder updates. Die bellen monteurs en/of fabrikant dat het niet meer werkt.

Als de fabrikant dan zegt. sorry uw wasmachine is 2 jaar oud. wij ondersteunen deze niet meer.... dat is dan het laatste iOT apparaat wat die persoon koopt van deze fabrikant. Zo helpt de iOT zichzelf na verloop van tijd naar de verdoemenis als de politiek eens ballen groeit en harde grenzen stelt

Minimaal 10 jaar software support en updates voor iOT apparatuur is wat mij betreft reëel. zeker voor witgoed apparaten, die gaan vaak lang mee. Kan me niet schelen wat dit betekend voor de fabrikanten, maken ze de apparaten maar rete duur. Ik hoef ze toch niet.... Wat me wel kan schelen is dat niet elke 3 maanden internet plat ligt door weer een DDoS vanuit iOT omdat er weer lekken zijn die niet gepatcht worden.

[Reactie gewijzigd door phoenix2149 op 20 november 2016 20:51]

En hoe ga je dat handhaven dan? De globalisering van de wereld die vooralsnog steeds aan de gang is maakt dit wel een lastig verhaal. En dan nog, globalisering of niet, ebay, dx.com en dat soort sites / leveranciers zullen echt niet terughoudend zijn jou spullen te sturen.
Laten we de welwillende helpen het juiste te doen. De meeste mensen willen best veilige apparatuur kopen, of dat nu om digitale veiligheid gaat of brandveiligheid, maar zouden niet weten waar ze op moeten letten. Net zo willen de meeste bedrijven ook het liefst veilige producten leveren maar niet als hun concurrenten goedkoper zijn omdat ze dat niet doen en de klanten het verschil toch niet zien (tot het te laat is).

Tegen een DDOS helpt dat maar beperkt, al helpen alle beetjes, zeker binnen Europa, maar het probleem met al die onveilige apparaten is groter dan dat. Denk aan webcams die gehackt worden, die telefoons die stiekem informatie naar China stuurde of huishoudelijke apparatuur die onbruikbaar wordt omdat hackers er mee hebben gerommeld.

We kunnen niet veel doen aan alle ellende in het buitenland maar tegen een deel van de problemen hier kunnen we ons wel wapen met goede beveiligingsvoorschriften, keurmerken en controles. Hoe die er precies uit moeten gaan zien is nog een groot raadsel, niemand lijkt te weten hoe je IT echt veilig maakt, maar een aantal basisprincipes kunnen al een hoop helpen.

De markt z'n gang laten gaan en hopen dat het goed komt lijkt me niet de juiste aanpak. We zien een enorm probleem aankomen, laten we doen wat we kunnen. Misschien, nou ja, waarschijnlijk, is dat niet direct de beste oplossing, maar niks doen is dat ook niet.

Laten we eerst de welwillende helpen het juiste te doen, voor we de onverschilligen en onwilligen aanpakken.
Goed plan om dit op europees niveau af te dwingen. Mijn inziens vooruitstrevend.
Jammer alleen dat met de invoering van CETA en in de toekomst mogelijk TTIP, dit helemaal niet meer te handhaven is.
Door dergelijke verdragen mag je niet meer dingen verbieden die de bedrijven uit Canada (CETA) of de VS (TTIP, maar ook CETA via een omweg) in de Europese markt willen verkopen. Zolang ze daar toegestaan zijn om te verkopen, kunnen we dat hier niet meer tegenhouden.
En de reden waarom CETA al een probleem vormt voor ons vs. Amerikaanse bedrijven is omdat vrijwel alle grote Amerikaanse bedrijven al een vestiging in Canada hebben.

Zolang apparaten daar toegestaan zijn, zijn ze hier niet meer te verbieden.
Het enige wat je misschien zou kunnen doen, is routering van data van dergelijke dingen verbieden, maar daarmee raak je de netneutraliteit en best wel kans dat ze die dan afschaffen omwille van dit soort juridische probleemsituaties.
Typisch voorbeeld van post-truth politics: we spuien wat fud onzin de wereld in en de helft blijft wel ergens hangen. Er is geen een alinea in heel ceta die de Europese regels plots ongeldig zou maken.
a.k.a. als het hedendaagse "nep nieuws".

Hetzelfde gebeurde ook over dat de Pensioenen Europees zouden gaan geregeld worden. Allemaal FUD onzin de wereld dat andere landen dan onze pensioen potten zouden leegroven enzovoort enzovoort. Allemaal onzin.

Tegenwoordig heb je echt veel van die anti overheids nep verhalen over besluiten en dergelijke zonder dat mensen echt eens zich gaan inlezen wat iets nou precies inhoudt. Nee men volgt gewoon het FUD nieuws op internet.
http://nos.nl/artikel/2139987-het-ceta
Misbruik door multinationals

Critici, onder wie de Walen, hebben ook grote bezwaren tegen de arbitrageregeling bij handelsgeschillen. Ze vrezen dat die misbruikt wordt door multinationals.

Bij een conflict - bijvoorbeeld als een land nieuwe regels maakt die niet zo gunstig zijn voor een onderneming - kunnen bedrijven een beroep doen op het Investment Court System (ICS) en een land aanklagen bij een speciale rechtbank.
Oftewel wel degelijk een mogelijkheid, al is deze vorm officieel nog niet in werking.
Dit soort verdragen kan dus wel degelijk nieuwe regels mbt. verbieden van producten in de weg staan.
Dat kan nog wel degelijk. Veel anti-CETA-verhalen zitten vol leugens.

TTIP komt er toch niet door, die Amerikanen zijn veel te star.

(Iemand die CETA grotendeels gelezen heeft)
Is dat zo? Ik was benieuwd en heb gezocht naar een onderbouwing voor deze stelling, maar kon daar geen bewijs van vinden.

Het is in ieder geval niet zo dat Europese regels met CETA plotseling verleden tijd zijn.
Door dergelijke verdragen mag je niet meer dingen verbieden die de bedrijven uit Canada (CETA) of de VS (TTIP, maar ook CETA via een omweg) in de Europese markt willen verkopen. Zolang ze daar toegestaan zijn om te verkopen, kunnen we dat hier niet meer tegenhouden.
Nee. Het maakt het makkelijker om de goedkeuring over te nemen maar Europese wetgeving kan nog altijd bepalend zijn. De interpretatie van CETA en TTIP is bijzonder simplistisch en in dit voorbeeld eenvoudig incorrect. Maakt de overeenkomst nog niet veel acceptabeler overigens, lol.
Mee eens. Op Nederlands niveau heeft het weinig zin. Als Nederland streng is dan kan een fabrikant zonder problemen een kleine markt als de Nederlandse gewoon overslaan.

Als je dit op EU niveau aanpakt heb je het ineens over een markt van meer dan een half miljard inwoners. Er zullen weinig fabrikanten zijn die zo'n markt over willen slaan.
Dat kan nog eens vies tegenvallen.
Genoeg smartphones bijvoorbeeld, die niet in de EU op de markt komen maar wel in Azie of de VS
En zelfs ondanks dat is er meer dan genoeg keus en kiest slechts een kleine groep om deze smartphones uit Azie te laten komen.

De markt bepaalt uiteindelijk, maar tot nu toe blijkt nog helemaal niet dat we de Chinese meuk unaniem verkiezen boven de gecontroleerde markt binnen de EU.
En dan gaan we met z'n allen lekker bij Ali of DealExtreme bestellen omdat die van die leuke producten hebben voor weinig geld... Of wil je die sites gaan blokkeren vanuit Europa?
Beter zou zijn: verplicht producenten default credentials aan te laten passen door consumenten voor ze een IOT toestel in gebruik kunnen nemen.
Op die manier is al veel IOT botnet onzin van de baan. Mensen kopen het, hangen het in hun huis en klaar. Dat is de realiteit, en zolang je mensen niet echt verplicht die default credentials aan te passen zullen enkel de tweakers en experts dat doen.
Ook op de routers UPNP af, en firewall aan zodat je gericht toegang tot je privé netwerk moet geven.
Het lijkt me dat dat één van de eisen van een keurmerk moet zijn. Naast bijvoorbeeld verplichte encryptie van alles wat het internet op gaat.
Als je twee apparaten echt met elkaar wil laten praten met encryptie moet je protocol dat wel ondersteunen. Die simpele protocolletjes die nu worden gebruikt met IoT zijn echt waardeloos en makkelijk te hacken als je eenmaal binnen bent.

Maar dat is in de industrie ook zo hoor, eenmaal binnen zijn vaak alle industriele protocollen ook waardeloos. Ze zijn vaak makkelijk in te zien, om bepaalde redenen natuurlijk dat het makkelijk is dat apparaten met elkaar praten. Nadeel is dat als je eenmaal binnen bent je echt totale vrijheid hebt.

Het lastige aan protocollen met encryptie dat ze gewoon lastiger zijn te implementeren. Kost meer geld en moeite. Debuggen is ook lastig, want je kan je data niet zo even monitoren op je bus of via een sniffer op je ethernet connectie... want encrypted. En als er in de industrie een vorm van encryptie mogelijk is schakelt men dat vaak toch uit... want onhandig en je zit toch niet op het internet.. en meer van dat soort onzin.

Nou zijn er wel van protocollen die gelukkig open zijn en relatief nieuw die ook gebruikt worden tegenwoordig en in de toekomst in o.a. het Leger, ziekenhuizen en meer... die dus speciaal voor dit soort doeleinden gebruikt worden. Tevens hard-realtime, distributed en ga zo maar door. Echter is het nog niet zo populair dat er een opensource implementatie is voor elke taal. Je protocol wordt er gewoon ingewikkeld van wil je het goed doen. Dan is dat zelf hobbyen er niet meer bij, want dan wordt het te moeilijk.
Wellicht kan een eenvoudige standaard hier uitkomst bieden. Bijvoorbeeld door je telefoon even tegen een apparaatje aan te houden en NFC het werk laten doen.
Je kunt het eens of oneens zijn maar ze zijn wel eindelijk een keer op tijd met de discussie, in plaats van jaren later als het probleem echt te groot word.

Persoonlijk vind ik wel dat fabrikanten aangespoord mogen worden om erover na te denken. Op dit moment lijkt het belangrijkste criterium vooral de eerste op de markt zijn.
Ik gok dat nu de helft (zo niet meer dan de helft) van iot zelfbouw is (denk aan ESP8266 based), maar ik denk dat er eerst andere dringende zaken meer prioriteit hebben, zoals de privacy van de burger. In mijn ogen is D66 dus uiterst populistisch bezig met dit soort opmerkingen.
Och, we zijn met meer dan een half miljard mensen in de EU en kunnen dus prima meerdere dingen tegelijk doen. Dan kun je dus ook meerdere prioriteiten hebben.

De mensen die de praktische mogelijkheden van een EU-brede IOT veiligheidsstandaard onderzoeken zijn niet dezelfde mensen als die zich bezig houden met privacybescherming binnen de EU.
Een politieke partij en dus bij uitstek geschikt om het onderzoeken van de mogelijkheden op de agenda te zetten. Ze zullen het na Nederland ook in het Europees Parlement op de agenda moeten zetten en dan krijg een serieuze discussie over de mogelijkheden, voor- en nadelen, hoe het technisch en juridisch vorm te geven etc.
Verspeelde moeite en dus een farce. Handhaving daarvan zal onmogelijk blijken. Waar zijn al die updates van onze Android devices? Ik zeg beginnen bij de kern en ophouden met dat populisme enkel om kiezers te winnen.
Ik vind dit bij uitstek een inhoudelijk onderwerp en juist niet populistisch.
Het gaat om iets wat behoorlijk uit de klauwen kan lopen en dan ook nog met grote gevolgen.

En het probleem gaat verder dan het verplichten van updates. Risico is immers kans * impact.
Met zo'n houding moet je in elk geval vér van de politiek weg blijven denk ik. Vergelijk het met moord. Handhaving is onmogelijk, je bent vrijwel altijd te laat. Dus laat maar gebeuren...?
Populistisch of niet, ik vind dit een valide standpunt, in tegenstelling tot grenzen sluiten of nationaliteiten afkeuren. Ongeacht of het standpunt populistisch is, het standpunt van D66 lost uiteindelijk iets op, in plaats van het probleem buiten de grenzen te plaatsen.
Daarover zijn we het eens. Handhaving zal toch een zeer grote uitdaging blijken. En waarom hoor ik ze niet over al de Android devices zonder patch voor de zoveelste kwetsbaarheid?
Ik ben het er zeker mee eens dat er problemen zijn in het Android update beleid, maar de problemen met Android updates vormen alleen een probleem voor de gebruiker. De IoT apparaten kunnen makkelijk onderdeel worden van een botnet om servers down te halen en zijn dus een groter risico voor de digitale infrastructuur.
Dat is dus juist het punt, de kwetsbaarheden in Android kunnen net zo eenvoudig zorgen voor deelname aan een botnet. Daarover heb ik D66 niet gehoord. Ik zeg trek het dan breder en verplicht gewoon alle fabrikanten kwetsbaarheden te patchen bij het bekend worden van een kwetsbaarheid. Ongeacht type device, koppeling met of zonder internet, onveilig = onveilig. Ik vind dat je deze "inspanningsverplichting" van elke fabrikant mag verwachten! Daarom zou het beter zijn om daarop in te zetten i.p.v. zich te beperken tot iot.

[Reactie gewijzigd door MrBreaker op 20 november 2016 11:22]

Het probleem bij Android is (denk ik) wie de verantwoordelijkheid heeft.
Google brengt op zich wel veiligheidspatches uit, maar as fabrikanten deze dan niet naar de toestellen doorzetten als update, blijft het lek open.
Wie is nu verantwoordelijk? De fabrikanten? Maar zij moeten ook maar de capaciteit hebben om een patch te testen en te verwerken in hun software. Of zou je de verantwoordelijkheid toch bij Google leggen? Microsofts Windows wacht ook niet tot fabrikanten hun patch doorzetten.

Dit probleem speelde 3 jaar geleden al en het verbaast me dat Google hier al die tijd niks mee heeft gedaan. Ik ben ondertussen (gelukkig) over naar Sailfish, een mobiel OS wat naast volwassen ook nog consumentvriendelijk is wat betreft advertenties en privacy. En: Sailfish draait bijna alle Android apps. Helaas is het daar nu wachten tot er een waardige vervanger komt voor de eerste Jolla, want die is er niet.
En waarom hoor ik ze niet over al de Android devices zonder patch voor de zoveelste kwetsbaarheid?
Omdat je niet alles op een hoop moet gooien als je iets bereiken wil. Overigens heeft D66 zich daar al wel over uitgesproken (als een van de weinige) maar gezien het karakter van de posts denk ik niet dat indruk op je zal maken.
In welke wereld is dit populisme? Dit is gewoon een prima voorstel dat past in de tijd. Populisme is = ALLE IOT APPARATEN VERBIEDEN en snel graag, want terrorisme, kinderporno en al het andere dat slecht is op de wereld vindt zijn oorsprong in IOT!
Leuk dat ze in Den Haag de klok hebben horen klinken, maar niet weten waar de klepel hangt. Typisch politici.
Het gaat niet om de apparaten, maar om de software die erop draait. Moet bij elke update dan ook weer de keuring komen? Ik zie een hoop banen bij komen, maar wie betaald dat?
ik las het (gekleurd door mijn achtergrond) al gelijk als 'apparaat moet verplicht automatisch voorzien worden van security-updates'.

Maar... hoe lang dan? Gaan we dus verplichten dat een apparaat zijn gehele levensduur updates krijgt? Kan je nooit handhaven lijkt me. Denk alleen al aan bedrijven die stoppen/failliet gaan. En oh ja, ze hadden nog zo'n leuke koelkast-module die 1000000x verkocht is en inmiddels lek is en altijd zal blijven. Helaas.... pindakaas.
Dat zou je kunnen oplossen doro te verplichten dat die koelkast het ook doet zonder IoT. En als de servers weg zijn, dat de koelkast offline gaat. Of dat ie de WLAN credentials dan weghaalt na een tijdje.

Het is best wel werk, maar niet onmogelijk.

Verder moeten klanten ook weten dat ze een clouddienst kopen. Fabrikant failliet en functies X Y en Z vallen weg. Fabrikant garandeert deze functies X jaar lang.
Dat is toch al zo met Smart TV. Je koopt iets met netflix, YouTube, etc. werkend voorgeïnstalleerd. En na 2 jaar werkt er niets meer omdat de contracten tussen TV-boer en contentleverancier afgelopen zijn en niet meer verlengd worden.
Of al het verkeer moet over de servers en proxys van de fabrikant, die na een paar jaar de servers voor iets anders nodig heeft, of gewoon uitzet.


Er wordt veel gesproken over de de verantwoordelijkheid van de leverancier tijdens het gebruik van het apparaat, maar aan de andere kant is altijd de discussie "het is na aankoop MIJN apparaat en ik maak zelf uit wat ik ermee doe" .

Dit soort gevallen krijg je bij IoT apparaten nog meer. We willen de invloed van de fabrikant op de werking enerzijds niet, maar anderzijds moet het apparaat wel veilig blijven. En dat willen we dan weer wel van de producent hebben.


Ik ben binnenkort aan een nieuwe TV toe en nu al op zoek naar een 'domme'

[Reactie gewijzigd door JAMF op 20 november 2016 11:42]

Daarom wil je dat de fabrikant aangeeft hoe lang de functies mee gaan. Dan wordt de vraag naar langere updates vanzelf heel sterk.

Kijk wat er met energielabels gebeurd is: onzuinige koekasten waren al heel snel verdwenen van de markt. Gewoon omdat niemand ze meer wilde hebben.

Dat zal met TVs niet anders zijn als er op staat: einddatum smart-functies is december 2018. Reken maar dat de marketing-afdeling eist dat er een andere datum op komt, en dat de software-architectuur daarin zal moeten volgen.
Eens...

Maar altijd de vraag of de claim ook waargemaakt wordt.
De grote namen willen geen imagoschade, de cowboys maakt het niet uit: veel verkopen, verdwijnen en onder een nieuwe naam weer meer verkopen. En ongeacht welke claim er dan ooit uitgegeven is.

Zo vind ik 'levenslange garantie' of 'levenslange updates' ook zoiets.

Is dat mijn leven? Of van de producent? Of krijg ik garantie zolang mijn apparaat het goed doet? - gedurende het 'leven' van het apparaat dus..
Vandaar: een harde datum. Eentje waar de leverancier wel aan te houden is. Dat zal de 'grote namen' ook wel interesseren, dat hun product ondersteuning blijft krijgen.
En zeg eens eerlijk: stop er een PC in, zet er Windows op, en klaar zijn ze. Dat is het model dat ze dan moeten volgen. (Kan met Android natuurlijk ook, als de drivers allemaal in de standaard kernel zitten).
Of krijg ik garantie zolang mijn apparaat het goed doet? - gedurende het 'leven' van het apparaat dus..
Als de werking van het apparaat afhankelijk is van software kan de fabrikant dan zorgen dat mijn apparaat na 5 of 10 jaar stopt met werken ? Mijn koelkast doet het al jaren goed zonder software, maar ik zie gebeuren dat hij stopt als de IoT software niet meer bijgewerkt wordt in de toekomst. Terwijl hij prima koelt zonder die software.

Vervelend. Het apparaat doet het prima, maar omdat de leuke, maar niet nuttige software niet meer wordt bijgewerkt stopt hij.
Bij een faillissement zou de curator verplicht alles kwa bron code moeten publiceren (openbaar moeten maken), bij een doorstart zou de nieuwe partij de "patch" verplichting over moeten nemen. Daarnaast zijn fabrikanten al verplicht een x aantal jaar na het leveren van een product onderdelen te moeten leveren, stel de patches hieraan gelijk. Problem solved.

[Reactie gewijzigd door MrBreaker op 20 november 2016 11:33]

En dan ?... Hopen op een actieve community?

Als een overnemende partij van het faillissement, meteen alle patches moet oplossen, zal er in veel gevallen niet veel overgenomen worden.

Bij overnames na faillissement worden toch meestal al de krenten uit de pap gevist. Een update ronde zal niet tot de krenten behoren
Beter iets dan niets. Zal eens tijd worden dat het afgelopen is met dat snelle cashen en enkel voor het eigen gewin een doorstart doen en daarbij een ieder benadelen op zichzelf na.
Ik zie dit niet gebeuren. Dit is al een uitdaging bij de overheid zelf.
Je kan natuurlijk als internet of dingen dingen maker kiezen. Om geld uit te geven aan mannetjes voor veilige software op je dingentjes, of boetes aan de eu te betalen. Omdat je dingetjes niet veilig zijn.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True